與大型銀行相比,中小銀行的特點為“規模小,網點少,經營區域集中”,正處于成長階段。為了彌補其規模、地域短板的,各中小銀行不斷完善自身信息化基礎設施建設,增強核心系統功能。在具體經營操作中,許多中小銀行紛紛借助網絡優勢建立網絡銀行,提供網絡客戶服務平臺。依托科技優勢,打造業務壁壘是中小型銀行在新經濟環境下摸索出生存法則。
然而,信息化建設是一把雙刃劍,隨著其金融服務內涵和外沿的不斷擴大,整體金融服務水平大幅度提高,伴生的信息安全風險日益凸現。
相對于日益成熟與完善的銀行對外安全防護體系,中小銀行當前所面臨的信息安全威脅主要來源于企業內部,尤其在數據中心IT設施日常運維管理過程中,主要歸結有以下四大因素:
圖1影響網內信息安全的四大因素
運維主體、對象、工具、行為對信息安全的影響具體表現為以下四方面:
運維主體繁雜,帳號共享,無法統一管理
中小銀行數據中心運維主體包括中心運維人員、分支運維人員、廠商人員、代維人員等。角色繁雜,賬號共享,交叉使用,分散登錄,管理缺乏規范性。一旦發生運維事故,無法鎖定具體責任人,安全隱患極大。
運維工具部署分散,管理維護難度大
對于目標IT設施的維護,需要基于各種不同的運維管理工具,如字符形協議/圖形化協議/數據庫工具。傳統模式下,運維工具分散安裝部署于各個運維客戶端,從而導致安裝、升級、維護等工作量過大,造成網內運維環境安全難以管理的局面。
無法保障運維行為的合規性,缺乏有效的安全監管機制
運維操作的合法性完全由操作主體主觀決定與控制,既沒有精細控制每個管理帳號的執行權限;也沒有明確定義“什么帳號可以執行哪些操作?哪個帳號不能執行哪些操作”的操作權限,責權模糊。因此,越權訪問、權限濫用等操作風險屢見不鮮。
目標運維對象的操作過程不可控
中小銀行數據中心內的目標IT設施規模龐大,數量眾多,運維操作紛繁復雜,缺少必要的取證舉證手段。對于違規違法訪問,無法追溯到操作源頭,更加不能為取證舉證提供充分依據。
二、方案概述
針對我國中小型銀行所面臨的信息安全風險,及其信息化業務現狀及需求,德訊科技ICS運維操作審計(堡壘主機)解決方案可從技術層面提供全方位一體化的安全防范與控制手段。
方案基于COBIT標準框架,主要從影響中小銀行運維操作安全的四大要素(主體、對象、工具、行為)入手,提供“認證、監控、審計、評估”管理手段,為數據中心構建一套“事前預防、事中監控、事后審計”的網內安全運維監管體系,實現“運維集中化、操作規范化、風險最小化”的管理目標。
其安全運維監管模型如圖2所示:
圖2安全運維監管模型
三、系統部署
本方案系統部署如圖3所示:
圖3系統部署示意圖
本方案具備以下五個系統部署特點:
利用原有網絡拓撲架構,安裝部署簡便,無需加裝任何客戶端代理,不影響任何業務數據流;
將ICS設備部署于核心交換機位置,實現對網絡內所有服務器及網絡設備的會話訪問;
單臺ICS設備最大支持500路字符會話及200路圖形會話的并發訪問壓力,小規模的數據中心通常只需配置一臺ICS設備;
ICS主備兩臺設備HA部署,保障數據的完整性及整個系統的防災恢復;
基于ICSWEB管理平臺,運維人員可隨時隨地對數據中心內的IT設備實施運維、審計等管理操作。
京公網安備 11010502049343號